Compartir vía


Páginas de entidades en Microsoft Sentinel

Cuando se encuentra con una cuenta de usuario, un nombre de host, una dirección IP o un recurso de Azure en una investigación de incidentes, puede decidir que desea saber más sobre él. Por ejemplo, es posible que quiera conocer su historial de actividad, ya aparezca en otras alertas o incidentes, ya haga algo inesperado o fuera de carácter, etc. En resumen, desea información que pueda ayudarle a determinar qué tipo de amenaza representan estas entidades y guiar su investigación en consecuencia.

Importante

Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.

Páginas de entidad

En estas situaciones, puede seleccionar la entidad (aparecerá como un vínculo en el que se puede hacer clic) y se le llevará a una página de entidad, una hoja de datos llena de información útil sobre esa entidad. También puede llegar a una página de entidad mediante la búsqueda directa de entidades en la página de comportamiento de la entidad de Microsoft Sentinel. Entre los tipos de información que encontrará en páginas de entidades se incluyen datos básicos sobre la entidad, una escala de tiempo de eventos importantes relacionados con esta entidad y conclusiones sobre el comportamiento de la entidad.

Más concretamente, las páginas de entidad constan de tres partes:

  • El panel de la izquierda contiene la información de identificación de la entidad, recopilada de fuentes de datos como Microsoft Entra ID, Azure Monitor, Azure Activity, Azure Resource Manager, Microsoft Defender for Cloud, CEF/Syslog y Microsoft Defender XDR (con todos sus componentes).

  • En el panel central se muestra una escala de tiempo gráfica y textual de eventos importantes relacionados con la entidad, como alertas, marcadores, anomalías y actividades. Las actividades son agregaciones de eventos importantes desde Log Analytics. Las consultas que detectan esas actividades las desarrollan los equipos de investigación de seguridad de Microsoft y ahora puede agregar sus propias consultas personalizadas para detectar las actividades que elija.

  • En el panel derecho se muestran conclusiones de comportamiento sobre la entidad. Los equipos de investigación de seguridad de Microsoft desarrollan continuamente estos conocimientos. Se basan en varios orígenes de datos y proporcionan contexto para la entidad y sus actividades observadas, lo que le ayuda a identificar rápidamente el comportamiento anómalo y las amenazas de seguridad.

Si está investigando un incidente mediante la nueva experiencia de investigación, podrá ver una versión en paneles de la página de entidad directamente dentro de la página de detalles del incidente. Tiene una lista de todas las entidades de un incidente determinado y la selección de una entidad abre un panel lateral con tres "tarjetas" (Información, Escala de tiempo y Detalles) que muestra toda la misma información descrita anteriormente, dentro del período de tiempo específico correspondiente al de las alertas del incidente.

Si usa el Microsoft Sentinel en el portal de Defender, la escala de tiempo y los paneles de información aparecen en la pestaña eventos de Sentinel de la página de entidad de Defender.

Escala de tiempo

La escala de tiempo es una parte importante de la contribución de la página de la entidad al análisis de comportamiento en Microsoft Sentinel. Presenta una historia sobre eventos relacionados con la entidad, lo que le ayuda a comprender la actividad de la entidad dentro de un período de tiempo específico.

Puede elegir el intervalo de tiempo entre varias opciones preestablecidas (como últimas 24 horas) o establecerlo en cualquier período de tiempo definido de forma personalizada. Además, puede establecer filtros que limiten la información de la escala de tiempo a tipos específicos de eventos o alertas.

En la escala de tiempo se incluyen los siguientes tipos de elementos.

  • Alertas: cualquier alerta en la que la entidad esté definida como entidad asignada. Tenga en cuenta que si su organización ha creado alertas personalizadas mediante reglas de análisis, debe asegurarse de que la asignación de entidades de las reglas se realice correctamente.

  • Marcadores: cualquier marcador que incluya la entidad específica mostrada en la página.

  • Anomalías: detecciones UEBA basadas en líneas de base dinámicas creadas para cada entidad a través de diversas entradas de datos y en comparación con sus propias actividades históricas, las de nodos del mismo nivel y las de la organización en su conjunto.

  • Actividades: agregación de acontecimientos notables relacionados con la entidad. Una amplia variedad de actividades se recopilan automáticamente y ahora puede personalizar esta sección agregando las actividades que prefiera.

Captura de pantalla de un ejemplo de escala de tiempo en una página de entidad en el portal Azure.

Conclusiones sobre la entidad

Las conclusiones sobre la entidad son consultas definidas por los investigadores de seguridad de Microsoft para ayudar a los analistas a investigar de manera más eficiente y eficaz. Las conclusiones se presentan como parte de la página de entidad y proporcionan información de seguridad valiosa sobre los hosts y los usuarios, en forma de gráficos y datos tabulares. Disponer aquí de la información significa que no tiene que desplazarse a Log Analytics. Las conclusiones incluyen datos sobre inicios de sesión, adiciones a grupos, eventos anómalos, etc., así como algoritmos avanzados de Azure Machine Learning para detectar comportamientos anómalos.

Las conclusiones se basan en los siguientes orígenes de datos:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (UEBA de Microsoft Sentinel)
  • Heartbeat (agente de Azure Monitor)
  • CommonSecurityLog (Microsoft Sentinel)

En general, cada visión de entidad que aparece en la página de entidad va acompañada de un vínculo que le llevará a una página en la que se muestra la consulta subyacente a la visión, junto con los resultados, para que pueda examinar los resultados con mayor profundidad.

  • En Microsoft Sentinel en Azure portal, el vínculo le lleva a la página Registros.
  • En el portal de Microsoft Defender, el vínculo le lleva a la página Búsqueda avanzada.

Cómo usar páginas de entidad

Las páginas de entidad están diseñadas para formar parte de varios escenarios de uso y se puede acceder a ellas desde la administración de incidentes, el grafo de investigación, los marcadores o directamente desde la página de búsqueda de entidades en Comportamiento de entidades en el menú principal de Microsoft Sentinel.

Diagrama de áreas desde los que puede acceder a las páginas de entidad, correspondientes con los casos de uso.

La información de la página de entidades se almacena en la tabla BehaviorAnalytics, que se describe en detalle en la referencia de UEBA de Microsoft Sentinel.

Páginas de entidad admitidos

Microsoft Sentinel ofrece actualmente las siguientes páginas de entidad:

  • Cuenta de usuario

  • Host

  • Dirección IP (versión preliminar)

    Nota

    La página de entidad de dirección IP (ahora en versión preliminar) contiene datos de geolocalización proporcionados por el servicio de inteligencia sobre amenazas de Microsoft. Este servicio combina datos de geolocalización tanto de soluciones de Microsoft como de proveedores y asociados de terceros. Posteriormente, los datos están disponibles para su análisis e investigación en el contexto de un incidente de seguridad. Para obtener más información, consulte también Enriquecimiento de entidades en Microsoft Sentinel con datos de geolocalización mediante la API de REST (versión preliminar pública).

  • Azure Resource (versión preliminar)

  • Dispositivo IoT (versión preliminar)—solo en Microsoft Sentinel en Azure Portal por ahora.

Pasos siguientes

En este documento, ha aprendido a obtener información sobre las entidades de Microsoft Sentinel mediante páginas de entidad. Para obtener más información sobre las entidades y cómo usarlas, consulte los siguientes artículos: